AI-generated woman
イメージミッドジャーニー

FIN7として知られる悪名高いAPTハッキング集団が、AIを搭載した偽のディープヌード生成サイトのネットワークを立ち上げ、訪問者を情報窃取マルウェアに感染させている。

FIN7は2013年以来、金融詐欺やサイバー犯罪を行なっているロシアのハッキング・グループであると考えられており、DarkSideBlackMatter、BlackCatといったランサムウェア・ギャングとのつながりがあり、最近では2000万ドルのUnitedHealthの身代金支払いを盗んだ後、出口詐欺を行なっていた

FIN7は、BestBuyになりすまして悪意のあるUSBキーを送りつけたり偽のセキュリティ会社を作ってペンテスターや開発者を雇い、彼らに気づかれないようにランサムウェア攻撃を行うなど、洗練されたフィッシングやソーシャル・エンジニアリング攻撃で知られている。

そのため、AIを搭載したディープヌードジェネレーターを宣伝するウェブサイトの複雑なネットワークに、服を着た個人の写真から偽のヌードバージョンを作成すると主張する彼らがリンクされていることを発見しても驚くにはあたらない。

この技術は、同意のない露骨な画像を作成することによって被写体に害を及ぼす可能性があるため物議を醸しており、世界の多くの場所で非合法化されているほどだ。しかし、この技術への関心は依然として強い。

ディープヌード生成者のネットワーク

FIN7の偽ディープヌードサイトは、有名人などのディープフェイクヌードの生成に興味を持つ人々のハニーポットとして機能している。 2019年には、AIが爆発的に普及する前から、脅威行為者が同様の誘い文句で情報窃取マルウェアを拡散させていた。

ディープヌード生成者のネットワークは、同じ「AI Nude」ブランドの下で運営され、検索結果でサイトを上位にランク付けするためのブラックハットSEO戦術によって宣伝されている。

Silent Pushによると、FIN7は “aiNude[.]ai”、”easynude[.]website”、”nude-ai[.]pro “のようなサイトを直接運営し、”無料トライアル “や “無料ダウンロード “を提供していたが、実際にはマルウェアを拡散していた。

どのサイトも似たようなデザインで、アップロードされた写真からAIディープヌード画像を無料で生成できることを約束している。

One of FIN7's honepot sites
FIN7のAIヌードハニーポットサイトの1つ
ソースはこちら:サイレント・プッシュ

偽サイトでは、ユーザーがディープフェイク・ヌードを作成したい写真をアップロードすることができる。しかし、”ディープヌード “疑惑が作られた後、それは画面に表示されない。代わりに、ユーザーは生成された画像をダウンロードするためのリンクをクリックするよう促される。

そうすると、パスワードとDropboxでホストされているパスワードで保護されたアーカイブへのリンクが表示される別のサイトが表示される。このサイトはまだ生きていますが、Dropboxのリンクはもはや機能しません。

悪質なペイロードの配布に使用されたサイト
Source

しかし、このアーカイブには、ディープヌード画像の代わりに、情報を盗むマルウェア「Lumma Stealer」が含まれています。このマルウェアは実行されると、ウェブブラウザに保存された認証情報やクッキー、暗号通貨のウォレット、その他のデータをコンピュータから盗み出します。

また、Silent Pushは、Windows用のディープヌード生成プログラムを宣伝しているサイトがあることも確認しましたが、そのサイトでは、代わりにRedline StealerとD3F@ck Loaderが展開され、これらも侵害されたデバイスから情報を盗むために使用されます。

Silent Pushが検出した7つのサイトはすべて削除されたが、これらのサイトからファイルをダウンロードした可能性のあるユーザーは、感染したと考えるべきである。

その他のFIN7キャンペーン

Silent Push は、ブラウザ拡張機能をインストールするよう訪問者に促すウェブサイトを通じて NetSupport RAT をドロップする並行する FIN7 キャンペーンも確認しました。

Website distributing NetSupport to victims
被害者に NetSupport を配布するウェブサイト
ソースはこちら:サイレント・プッシュ

その他のケースでは、FIN7は、Cannon、Zoom、Fortnite、Fortinet VPN、Razer Gaming、PuTTYなどの有名ブランドやアプリケーションになりすましたように見えるペイロードを使用しています。

Various FIN7 payloads
様々なFIN7のペイロード
ソースはこちら:サイレントプッシュ

これらのペイロードは、SEO戦術や不正広告を使用して被害者に配布され、トロイの木馬化されたインストーラをダウンロードするように被害者をだます可能性があります。

FIN7 は最近、カスタム EDR 殺害ツール「AvNeutralizer」を他のサイバー犯罪者に販売したり、フィッシング攻撃で自動車メーカーの IT スタッフを標的にしたり、組織に対する攻撃でCl0p ランサムウェアを展開したりしていることが明らかになりました。